コンテンツにスキップ

IDR インテグレーションガイド🔗

お客様のテナントでTaegis™ IDRが有効化されたら、Taegis MenuからIDを選択し、Microsoft Entra IDとのインテグレーション設定を開始してください。

セットアップ概要🔗

セットアッププロセスでは、AzureのSophos Master Applicationを使用して、必要なアプリケーションの自動作成と、Azureテナント内で必要な権限の付与を行います。

重要

このセットアップを実施するには、テナント管理者ロールを持つTaegisユーザーが必要です。 IDRにはMicrosoft Entra ID P1またはP2が必要です。

Microsoft Entra ID インテグレーションのセットアップ🔗

  1. Taegis MenuからIDに移動します。
  2. Microsoft Entra IDカードのセットアップをクリックします。

    セットアップをクリック

  3. インテグレーションの名前を入力し、次へをクリックします。

    インテグレーションに名前を付ける

  4. 認可をクリックして、MicrosoftのIDプロバイダーにリダイレクトされます。

    認可をクリック

  5. 指示に従い、Entra IDテナントとのインテグレーションのために組織全体の同意を付与できるユーザーアカウントでサインインします。その後、表示される権限を承認して、IDRがEntra IDへアクセスできるようにします。詳細はMicrosoftのドキュメントをご参照ください。

  6. セットアップが完了したら、閉じるをクリックします。

インテグレーション認可の再試行🔗

Admin Consentプロセスが「アプリケーションが見つかりません」といったエラーで失敗した場合、Microsoftのレプリケーション遅延が原因であることが多いです。以下の手順でセットアップを完了してください。

  1. Microsoftのインフラストラクチャ全体でサービスプリンシパルがレプリケートされるまで15~30分待ちます。待機中も他の作業を続けることができます。

  2. ID > 設定に移動します。

  3. アクション列の三点リーダーアイコン をクリックし、管理者の同意を付与を選択します。これによりMicrosoftのIDプロバイダーにリダイレクトされ、認可を完了できます。

    管理者の同意を付与をクリック

  4. 指示に従い、Entra IDテナントに対して組織全体の同意を付与できるアカウントでサインインします。表示される権限を承認して、IDRがEntra IDへアクセスできるようにします。詳細はMicrosoftのドキュメントをご参照ください。

  5. 同意を付与した後、更新アイコン をクリックしてインテグレーションを再プロビジョニングします。

    インテグレーションの再プロビジョニング

ヒント

プロビジョニングは最大60分間自動的に再試行されます。インテグレーション開始から60分以上経過している場合のみ更新をクリックしてください。

自動化のセットアップ🔗

IDRでレスポンスアクションを利用したい場合は、必要なアクション、プレイブック、コネクターを設定できます。

注意

すでにAzure ADまたはEntra IDのコネクターやプレイブックを設定済みの場合、この手順を再度行う必要はありません。一度設定すれば、オートメーションプレイブックはプラットフォーム全体で利用可能です。

自動レスポンスアクション🔗

コネクターを有効化した後は、User Automated Response Actionsプレイブックテンプレートを使ってIDの検出結果に対する自動レスポンスアクションを設定できます。テンプレートの利用・設定方法はプレイブックテンプレートの手順と、Playbook Execution設定に関する以下のガイダンスを参照してください。

  1. トリガータイプには以下を選択します。

    • ソース: ID検出結果
    • イベント: 作成済み

    Warning

    イベント更新済みを選択すると、体制チェックが実行されるたびに検出結果の更新イベントが発生し、そのたびにプレイブックが実行されます。この場合、ユーザーのパスワードが1日に複数回リセットされる可能性があります。

  2. このプレイブックはいつ実行されますか?では、条件付き実行を選択し、プレイブックを実行する条件をカスタマイズします。Common Expression Languageの構文についてはCEL概要をご参照ください。

以下の例では、新しいCredential Compromise検出結果が重大または高の重大度で作成された場合にレスポンスアクションが実行されます。

プレイブック設定

CEL式を使って、レスポンスアクションのトリガー条件をさらにカスタマイズする追加例を以下に示します。

inputs.identityFindings.new.severity >= 0.6 && inputs.identityFindings.new.check.title.startsWith('Application shall not have unclaimed DNS')
inputs.identityFindings.new.severity >= 0.6 && inputs.identityFindings.new.primaryReference.derivedType == "APP"